radius 命令配置

1.1 aaa accounting optional 打开或关闭AAA记帐选择开关。
 [ no ] aaa accounting optional 【缺省情况】 系统缺省为关闭AAA记帐选择开关。
 【命令模式】 全局配置模式
【使用指南】 NAS 向记账服务器发记账包后，系统会启动定时器，如果没有收到记账服务

器的响应，则由NAS负责重传，当重传次数大于系统配置的最大重传次数后仍未有记账服务

器的响应，此时若配置了aaa accounting optional 命令，则用户可以继续使用网络资源。

否则用户将被切断。
【举例】 打开AAA记帐选择开关。
 Quidway(config)#aaa accounting optional 【相关命令】 aaa enable

5.1.2
aaa authentication local-first 允许或禁止AAA的本地优先验证。
[ no ] aaa authencation local-first 【缺省情况】 AAA缺省不使用本地优先验证。
【命令模式】 全局配置模式
【使用指南】 aaa authentication local-first和aaa authentication ppp既共同起作用

，又有不同之处。
从以下两个例子中可以看出二者不同之处。
 例1：Quidway(config)#aaa authentication local-first
Quidway(config)#aaa authentication ppp default radius
例2：Quidway(config)#aaa authentication ppp default local radius
在例1中，系统首先进行本地验证，如果验证失败，则继续进行 RADIUS 验证；
但在例2中，系统也首先进行本地验证，如果验证失败，则表明为非法访问，不再继续进行

RADIUS 验证。
【相关命令】 aaa authentication ppp
5.1.3
aaa authentication ppp 配置AAA的PPP验证方法表。
aaa authentication ppp { default | list-name } { method1 } [ method2 ... ]
no aaa authencation ppp { default | list-name }
【参数说明】 各参数意义如下： default 为PPP缺省用的验证方法表名，如果封装PPP的接

口上没有定义验证方法，则缺省使用该方法表。
list-name 用户输入的方法表名，使用时需与ppp authentication 命令相配合，使该方法

表list-n 用于某接口的PPP验证。
method 为验证方法，有以下三种验证方法： radius —— 用RADIUS服务器进行验证
local —— 在本地进行验证（请参见PPP配置）
none —— 所有用户不需进行验证便可得到访问权
在配置验证方法表时，至少需要指定一种验证方法，如果指定多种验证方法，则在进行PPP

验证时，首先采用method1，如果发生验证错误（如无法与RADIUS服务器建立通信连接等错

误），再采用method2，依次类推；
但如果在采用某种方法验证失败后（即为非法访问），则不再采用其后方法而终止验证。另

外 none 方法只有放在最后才有意义。
【缺省情况】 对于PPP用户如果没有指定验证方法，则缺省采用default验证方法表。
【命令模式】 全局配置模式
【使用指南】 PPP的CHAP或PAP验证只是验证过程，通过该验证过程获取到对端用户名和密

码等信息，能否通过验证，还需要由AAA确定。 AAA的PPP验证方法表中可以指明三种验证方

法：local、radius和none。其中local 为用本地数据库进行验证，radius表示由Radius服

务器进行验证，none表示不验证。 本地数据库由 user 和 no user 命令配置。
【举例】 配置PPP的缺省验证方法表，要求先采用Radius服务器验证，如果未得到响应则改

用本地验证，若仍未得到响应则不再验证。
 Quidway(config)#aaa authentication ppp default radius local none
【相关命令】 aaa authentication local-first，ppp authentication，user，no user

5.1.4
aaa enable 使能或禁止AAA。
[ no ] aaa enable 【缺省情况】 系统缺省未禁止AAA。
【命令模式】 全局配置模式
【使用指南】 只有使能AAA后，才能配置AAA的其它参数。
【举例】 使能AAA。
 Quidway(config)#aaa enable 5.1.5 ip local pool 定义或取消为PPP用户分配本地的IP

地址池。
ip local pool pool-number low-ip-address [ high-ip-address ]
no ip local pool pool-number
【参数说明】 pool-number为地址池编号，范围0~99，表示系统最多可以定义100个本地IP

地址池。 low-ip-address 和 high-ip-address 分别为IP地址池的起始和结束IP地址。
【缺省情况】 系统缺省没有本地IP地址池，如果在定义IP地址池时，没有指定结束IP地址

，则该地址池中只有一个IP地址，即起始IP地址。
【命令模式】 全局配置模式
 【使用指南】 配置IP地址池，主要用于为PPP用户分配IP地址。
【举例】 配置从129.102.0.1到129.102.0.10的本地IP地址池0。
 Quidway(config)#ip local pool 0 129.102.0.1 129.102.0.10
【相关命令】 peer default ip address 5.1.6 peer default ip address
配置或取消为PPP用户分配的IP地址。
 peer default ip address { ip-address | pool [ pool-number ] }
no peer default ip address
【参数说明】 ip-address为PPP用户分配的IP地址。
pool-number为PPP用户分配的IP地址池。
【缺省情况】 如果不指定地址池号，则缺省为地址池0。
【命令模式】 接口配置模式
【使用指南】 只有在封装PPP的接口上，才可以配置为对端PPP用户分配的IP地址。
【举例】 在接口Serial0上封装PPP协议，并为对端PPP用户分配IP地址129.102.0.1。
Quidway(config-if-Serial0)#encapsulation ppp
Quidway(config-if-Serial0)#peer default ip address 129.102.0.1
【相关命令】 encapsulation ppp，ip local pool
5.1.7 radius-server
dead-time 配置Radius服务器down掉后的恢复时间(dead-time)，
 no radius-server dead-time 恢复缺省配置。
 radius-server dead-time minutes no radius-server dead-time
【参数说明】 minutes 为Radius 服务器 down 掉后的恢复时间，单位分钟。
【缺省情况】 Radius 服务器 down 掉后的恢复时间缺省为5分钟。
【命令模式】 全局配置模式
【使用指南】 Radius服务器出故障后（如NAS到服务器的线路出现故障或服务器上的

Radius 进程出现故障），系统会将其状态设置成无效状态，经上述配置时间间隔后，系统

会将其状态设置成有效状态，如果当前正在使用的服务器又出现故障，系统将自动检测原来

的那个服务器是否可以投入使用。
【举例】 配置Radius服务器down掉后恢复时间为10分钟。
Quidway(config)#radius-server dead-time 10 

5.1.8 radius-server host
配置或取消Radius服务器的IP地址和监听端口号。

radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ]

no radius-server host { hostname | ip-address }

【参数说明】

hostname为Radius服务器的主机名。

ip-address为Radius服务器的IP地址，点分十进制格式。

auth-port 指定验证监听端口号。

acct-port 指定记帐监听端口号。

port-number 为Radius服务器的监听端口号的值，0表示不作为验证或记帐服务器使用。

【缺省情况】

验证端口号的缺省值为1812，记帐端口号的缺省值为1813。

【命令模式】

全局配置模式

【使用指南】

用户可以多次执行该命令，配置多个Radius服务器，系统将根据配置时间的先后选择Radius服务器，当一个服务器失效后，系统会自动选择下一个服务器，直到最后一个服务器失效为止。
【举例】

指定IP地址为 129.102.0.2 的主机只作为验证服务器，验证端口为1000。

Quidway(config)#radius-server host 129.102.0.2 auth-port 1000 acct-port 0

5.1.9 radius-server key
配置或删除Radius服务器的密钥。

[ no ] radius-server key string

【参数说明】

string为Radius服务器的密钥。

【命令模式】

全局配置模式

【使用指南】

密钥用于加密用户口令以及生成回应验证符（Response Authenticator）。

【举例】

配置Radius服务器的密钥为Quidway。

Quidway(config)#radius-server key Quidway

5.1.10 radius-server realtime-acct-timeout
配置Radius 实时记帐包发送间隔时间，no radius-server realtime-acct-timeout 命令恢复缺省配置。

radius-server realtime-acct-timeout minutes

no radius-server realtime-acct-timeout

【参数说明】

minutes为Radius 实时记帐包发送间隔时间，单位分钟。
【缺省情况】

系统缺省的Radius 实时记帐包发送间隔时间为0，即不使用实时记帐。

全局配置模式

【使用指南】

用户通过验证后，NAS以配置的间隔时间向Radius服务器发送用户的实时记帐信息，如果实时记帐请求失败，将根据accounting optional 命令配置情况对用户进行处理，如果用户配置了accounting optional，NAS将允许用户继续使用网络服务，反之则NAS会将用户挂断。
举例】

配置Radius实时记帐包发送间隔时间为2分钟。

Quidway(config)#radius-server realtime-acct-timeout 2

5.1.11 radius-server retransmit
配置Radius重传次数，no radius-server retransmit命令恢复缺省配置。

radius-server retransmit retries

no radius-server retransmit

【参数说明】

retries为Radius重传次数。

【缺省情况】

系统缺省的Radius重传次数为3。

【命令模式】

全局配置模式

【使用指南】

当首选服务器不能正常工作时，在候选服务器启动之前，需重传AAA请求 。重传AAA请求计数超出规定最大重传次数后，认为该服务器已不能正常工作。

【举例】

配置Radius服务器重传次数为2。

Quidway(config)#radius-server retransmit 2

radius-server timeout
配置Radius服务器的超时定时器，no radius-server timeout命令恢复缺省配置。

radius-server timeout seconds

5.1.12 radius-server timeout

【参数说明】

seconds 为Radius服务器的超时定时器值，单位为秒。

【缺省情况】

Radius服务器超时定时器缺省为10秒。

【命令模式】

全局配置模式

【使用指南】

对发送出去的包，如果需要对方应答（如验证请求包），则设置一个超时定时器，超时后重发此报文。

【举例】

配置Radius服务器的超时定时器为5秒。

Quidway(config)#radius-server timeout 5

5.1.13 show aaa user
显示拨入用户的情况。

show aaa user

【命令模式】

特权用户模式。

【使用指南】

根据该命令的输出信息，可以监控拨入用户和进行AAA故障诊断等。

【举例】

Quidway#show aaa user

liusongtao 0xca260102 2 00:48:10 active

以上信息显示用户名、用户的 IP 地址、用户呼叫号码、用户拨入号码 和用户的计帐时间等信息。